Rusya merkezli tehdit aktörleri, karmaşık bir Android Uzaktan Erişim Truva Atı’nı yer altı kanalları aracılığıyla dağıtıyor ve bunu diğer suçlulara abonelik hizmeti olarak sunuyor.
Fantasy Hub olarak tanımlanan kötü amaçlı yazılım, saldırganların ele geçirilen mobil cihazlarda geniş çaplı gözetim operasyonları yürütmesine, hassas iletişimleri ve şüphelenmeyen kullanıcılardan kişisel bilgileri çalmasına olanak tanıyor.
Casus yazılımın yetenekleri, temel veri hırsızlığının çok ötesine geçerek saldırganlara iki faktörlü kimlik doğrulama mesajlarını ele geçirme, bankacılık kimlik bilgilerine erişme ve gerçek zamanlı cihaz izleme gerçekleştirme araçları sağlıyor.
Fantasy Hub, Hizmet Olarak Kötü Amaçlı Yazılım modeli altında çalışarak minimum uzmanlığa sahip saldırganlar için teknik engelleri önemli ölçüde azaltır.
Tehdit aktörleri, kötü amaçlı yazılımın Rusça dildeki kanallarda reklamını yapıyor ve abonelikleri yöneten ve kötü amaçlı yazılım oluşturucuya erişim sağlayan bir Telegram botuna bağlantılar içeriyor.
.webp)
Saldırganlar, ele geçirilen cihazları ve sahiplerini “mamutlar” olarak adlandırıyor ve kullanıcıları, kimlik avı tekniklerini teknik gelişmişlikle birleştiren gelişmiş bir sosyal mühendislik ekosisteminin içine çekiyor.
Saldırganlar, kötü amaçlı yazılımın dağıtımı ve güvenlik kısıtlamalarının aşılmasına ilişkin video eğitimleri de dahil olmak üzere eksiksiz belgelere sahip olur.
Zimperium güvenlik araştırmacıları, Fantasy Hub’ın Rusça komut ve kontrol paneli ile saldırganlar için kapsamlı operasyonel kılavuzları içeren gelişmiş altyapısını belirledi.
Kötü amaçlı yazılımın hedefleme stratejisi özellikle, operatörlerin bankacılık kimlik bilgilerini ele geçirmek için sahte oturum açma pencereleri kullandığı Alfa, PSB, Tbank ve Sber gibi finansal kurumlara odaklanıyor.
Bu finansal odaklanma, çalışanların mobil bankacılık veya kişisel cihazlarındaki hassas uygulamaları kullandığı kurumsal ortamlara yönelik ciddi tehdidin altını çiziyor.
Teknik Kaçınma Mekanizmaları
Fantasy Hub, güvenlik analizinden gizli kalmak için gelişmiş tespitten kaçınma taktikleri kullanır.
Kötü amaçlı yazılım, çalışma zamanı sırasında metadata.dat adı verilen şifrelenmiş bir varlığın şifresini çözen bir metamask_loader kitaplığı içine yerleştirilmiş yerel bir damlalık kullanır.
.webp)
Şifre çözme işlemi, sabit bir 36 baytlık anahtar modeli kullanan özel bir XOR şifreleme rutinine ve ardından zlib aracılığıyla gzip sıkıştırmasının açılmasına dayanır.
Bu iki aşamalı şifreleme yaklaşımı, geleneksel antivirüs çözümlerinin algılayabileceği statik göstergeleri önemli ölçüde azaltır.
Kötü amaçlı yazılım, ClayRat casus yazılımına benzer şekilde SMS işleyici rolünün kötüye kullanılması tekniğinden de yararlanarak kişiler, kamera ve dosya erişimi dahil olmak üzere çok sayıda güçlü izni tek bir yetkilendirme adımında birleştiriyor.
Damlalık, kullanıcı şüphesini azaltmak için Google Play Güncellemesi kılığına girerken, son örnekler dinamik analiz ortamlarından kaçmak için kök algılama yeteneklerini gösteriyor.
Ek olarak Fantasy Hub, canlı ses ve video yayın kanalları oluşturmak için WebRTC’yi entegre ederek, saldırganın keşif potansiyelini geleneksel veri sızdırma yöntemlerinin ötesine önemli ölçüde genişleten gerçek zamanlı gözetim yeteneklerini etkinleştirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
